[发明专利]基于业务模型的异常流量检测系统及方法

权利要求书

1.一种基于业务模型的异常流量检测系统，其特征在于，包括：

数据采集及解析装置，用于目标网络端口的原目标流量数据的采集及解析；

第一数据检测装置，用于根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤，将原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的第一流量数据发送到第二数据检测装置；

第二数据检测装置，用于根据预置的流量攻击分析模块对所述第一流量数据进行流量攻击判断，识别出第一流量数据中的异常流量数据；

其中，所述流量攻击分析模块至少包括DDOS分析模块；

所述DDOS分析模块，用于根据统计得到的网络流量数据的第一链路特征判断原目标流量数据是否存在DDOS攻击；

所述第一链路特征是指一个目标主机若干个时刻接收到的流量数据中，对于每一个时刻的流量数据按照流量数据的链路长度排序，统计出的不同时刻的位于固定顺序的流量数据的链路长度与对应时刻接收到流量数据的链路总数的比值的第一阈值范围；其中，所述链路长度为链路中包括的节点个数，所述链路总数为所述时刻接收到的流量数据中链路的总数；

所述DDOS分析模块包括：

第一流量排序单元，用于对属于同一目的主机的所有原目标流量数据的链路长度进行排序；

第一流量链路分析单元，用于对所述同一目的主机，根据排序结果判断位于不同顺序的原目标流量数据的链路长度与所有原目标流量数据的链路总数的比值是否符合对应顺序的第一阈值范围，若是，则原目标流量数据为安全流量，若否，则原目标流量数据为存在DDOS攻击。

2.根据权利要求1所述的一种基于业务模型的异常流量检测系统，其特征在于，所述目标网络端口为目标安全域的边界、目标安全域的子域以及子域之间的交换机端口。

3.根据权利要求1或2所述的一种基于业务模型的异常流量检测系统，其特征在于，所述数据采集及解析装置包括：

流量数据采集模块，用于通过交换式端口分析器SAPN技术采集目标网络端口的原目标流量数据；

流量数据解析模块，用于对所述原目标流量数据的TCP/IP数据包进行解析，得到原目标流量数据的第一信息，所述第一信息包括IP五元组、源MAC地址和目的MAC地址；

业务系统确定模块，用于根据原目标流量数据的源MAC地址、目的MAC地址和预置的业务系统映射表确定出原目标流量数据的源业务系统和目标业务系统，其中所述业务系统映射表为预置的MAC地址与业务系统的对应关系表。

4.根据权利要求1所述的一种基于业务模型的异常流量检测系统，其特征在于，所述第一数据检测装置包括：

安全流量处理模块，用于控制与流量信息白名单匹配的原目标流量数据通过；

异常流量处理模块，用于拦截与流量信息黑名单匹配的原目标流量数据。

5.根据权利要求3所述的一种基于业务模型的异常流量检测系统，其特征在于，

所述流量信息白名单中包括已知安全的源业务系统和目的业务系统对、IP地址和端口地址；原目标流量数据与流量信息白名单匹配是指原目标流量数据的所述第一信息中的任一项、或者源业务系统和目标业务系统同时出现在流量白名单中；

所述流量黑名单中包括已知威胁情报信息；原目标流量数据与流量信息黑名单匹配是指解析后的原目标流量数据的任一项信息出现在流量黑名单中。

6.根据权利要求1所述的一种基于业务模型的异常流量检测系统，其特征在于，所述流量攻击分析模块还包括以下模块中的至少一种：

木马分析模块、蠕虫分析模块、NTP放大攻击分析模块和自定义异常分析模块。